DMARC, DKIM og SPF forklaret – beskyt dit domæne mod e-mail-spoofing

Problemet: dit domæne kan misbruges uden din viden

Forestil dig en angriber der sender e-mails til dine kunder, kolleger eller leverandører. Afsender-adressen ser ud til at komme fra dit domæne. Det ser ægte ud. Modtageren har ingen åbenlys grund til at mistro den.

Det er e-mail-spoofing. Og det er muligt på stort set ethvert domæne der ikke har konfigureret SPF, DKIM og DMARC korrekt. Angriberne behøver ingen adgang til dit system. De bruger blot din identitet.

SPF, DKIM og DMARC løser det ikke fuldstændigt, men de gør det markant sværere og giver modtagerservere noget at handle på.

De tre mekanismer

SPF – hvem må sende på vegne af dit domæne

SPF (Sender Policy Framework) er en DNS TXT-post der lister, hvilke mailservere der har lov til at sende e-mail fra dit domæne. Når en mailserver modtager en besked fra @ditdomaene.dk, slår den SPF-posten op og tjekker om den afsendende servers IP-adresse er på listen.

Er den ikke, fejler SPF-tjekket. Hvad der sker bagefter afhænger af din DMARC-politik.

Eksempel på en SPF-post for Microsoft 365:

v=spf1 include:spf.protection.outlook.com -all

include:spf.protection.outlook.com tillader Microsofts mailservere at sende på dine vegne. -all betyder at alle andre servere skal afvises.

📝 Et domæne, én SPF-post. Du kan kun have én SPF-post pr. domæne. Har du flere mailkilder (fx et nyhedsbrev-system), skal du kombinere dem i én post med flere include:. Eksempel: v=spf1 include:spf.protection.outlook.com include:sendgrid.net -all

DKIM – kryptografisk signatur på dine e-mails

DKIM (DomainKeys Identified Mail) tilføjer en digital signatur til e-mail-headeren. Din mailserver signerer udgående e-mails med en privat nøgle. Modtagerens server bruger den tilhørende offentlige nøgle, som er publiceret i DNS, til at verificere signaturen.

Det beviser to ting: e-mailen kom fra en server med adgang til din private nøgle, og indholdet er ikke blevet ændret undervejs.

DKIM-posten ser sådan ud i DNS (Microsoft 365 genererer nøglerne for dig):

selector1._domainkey.ditdomaene.dk  CNAME  selector1-ditdomaene-dk._domainkey.ditdomaene.onmicrosoft.com

DMARC – politikken der binder det hele sammen

DMARC (Domain-based Message Authentication, Reporting and Conformance) er den post der fortæller modtagerservere, hvad de skal gøre med e-mails der fejler SPF eller DKIM. Den definerer også rapportering, så du kan se hvem der sender e-mail på vegne af dit domæne.

DMARC har tre politikker:

p=none — gør ingenting, send bare rapporter. Brug dette mens du starter.
p=quarantine — læg e-mails der fejler i spam-mappen.
p=reject — afvis e-mails der fejler direkte. Det er målet.

Eksempel på en DMARC-post:

v=DMARC1; p=reject; rua=mailto:[email protected]; adkim=s; aspf=s

rua er adressen der modtager aggregerede rapporter. adkim=s og aspf=s sætter strict alignment, der kræver nøjagtig domæne-match.

⚠️ Start med p=none. Sæt aldrig p=reject fra dag ét uden at have tjekket rapporterne. Du kan uforvarende blokere legitim e-mail fra systemer du har glemt. Brug none i 2-4 uger, analyser rapporterne, og skru op til quarantine og derefter reject.

Opsætning i Microsoft 365 – trin for trin

Forudsætninger

Microsoft 365-abonnement med et eget domæne tilknyttet
Adgang til dit domænes DNS (via fx Cloudflare, GoDaddy, One.com, Namecheap)
Global administrator-rettigheder i Microsoft 365 Admin Center

Trin 1: Verificér din SPF-post

Når du tilføjer et domæne i Microsoft 365, guides du normalt igennem oprettelse af en SPF-post. Tjek at den eksisterer og er korrekt:

# Slå SPF-post op (Windows)
nslookup -type=TXT ditdomaene.dk

# Eller med dig (Linux/macOS)
dig TXT ditdomaene.dk +short

Du skal se en TXT-post der indeholder v=spf1 og include:spf.protection.outlook.com. Er den ikke der, tilføj den i dit DNS-panel:

Navn: @
Type: TXT
Værdi: v=spf1 include:spf.protection.outlook.com -all
TTL: 3600

Trin 2: Aktivér DKIM i Microsoft 365 Defender

DKIM er ikke aktiveret som standard. Du skal gøre det manuelt.

Gå til security.microsoft.com
Klik E-mail & samarbejde i venstre menu
Klik Politikker & regler og derefter Trusselspolitikker
Under Regler, klik DKIM
Vælg dit domæne og klik Aktivér

Microsoft 365 vil nu bede dig tilføje to CNAME-poster i DNS. De ser sådan ud:

# Post 1
Navn: selector1._domainkey
Type: CNAME
Værdi: selector1-ditdomaene-dk._domainkey.ditdomaene.onmicrosoft.com

# Post 2
Navn: selector2._domainkey
Type: CNAME
Værdi: selector2-ditdomaene-dk._domainkey.ditdomaene.onmicrosoft.com

Erstat ditdomaene-dk med dit faktiske domænenavn uden punktummer (fx firma-dk for firma.dk). Tilføj begge poster i dit DNS-panel og vent på propagering — typisk 5-60 minutter.

Gå tilbage til DKIM-skærmen i Defender og klik Aktivér igen. Venter der status "Aktiveret" er du klar.

Trin 3: Tilføj DMARC-post

DMARC konfigureres udelukkende via DNS. Tilføj en TXT-post på dit domæne:

Navn: _dmarc
Type: TXT
Værdi: v=DMARC1; p=none; rua=mailto:[email protected]
TTL: 3600

Brug din egen e-mailadresse til rua. Du vil modtage XML-rapporter fra modtagerservere der behandler e-mail fra dit domæne. De er ikke særlig læsbare råt, men der er gratis services der parser dem.

Trin 4: Verificér alt med MXToolbox

Brug MXToolbox SuperTool til at tjekke alle tre poster:

spf:ditdomaene.dk       → tjekker SPF
dkim:ditdomaene.dk      → tjekker DKIM
dmarc:ditdomaene.dk     → tjekker DMARC

Alle tre bør returnere grønne resultater inden du skruer DMARC op.

Trin 5: Skru DMARC op over tid

Vent 2-4 uger mens du modtager DMARC-rapporter. Analyser dem med et gratis værktøj som dmarcian eller Postmark DMARC. Når du er tryg ved at alle legitime mailkilder passerer, opdater DMARC-posten:

# Fase 2: karantæne
v=DMARC1; p=quarantine; pct=25; rua=mailto:[email protected]

# Fase 3: afvis (målet)
v=DMARC1; p=reject; rua=mailto:[email protected]; adkim=s; aspf=s

pct=25 anvender politikken på 25% af e-mails der fejler — god måde at teste effekten gradvist.

Tjekliste: er du klar til reject?

SPF-post eksisterer og inkluderer alle dine mailkilder
DKIM er aktiveret i Microsoft 365 og CNAME-poster er tilføjet
DMARC-post er tilføjet med p=none og rua-adresse
Du har modtaget og analyseret DMARC-rapporter i 2-4 uger
Ingen legitime mailkilder fejler SPF eller DKIM i rapporterne
DMARC er opdateret til p=quarantine, og du har overvåget yderligere 1-2 uger
DMARC er opdateret til p=reject

Hvad det ikke løser

SPF, DKIM og DMARC beskytter From:-adressen i headeren, den synlige afsender. De beskytter ikke mod lookalike-domæner som firma-support.dk eller firmadk.com der ligner dit domæne men ikke er det.

De stopper heller ikke phishing fra kompromitterede konti inden for dit eget domæne. En angriber med adgang til én konto kan stadig sende overbevisende phishing til dine kolleger.

Men de lukker den åbenlyse dør der ellers er åben: muligheden for at sende vilkårlig e-mail som @ditdomaene.dk uden nogen form for autentificering.

DMARC, DKIM og SPF
– stop forfalskning af din e-mail

Problemet: dit domæne kan misbruges uden din viden

De tre mekanismer

SPF – hvem må sende på vegne af dit domæne

DKIM – kryptografisk signatur på dine e-mails

DMARC – politikken der binder det hele sammen

Opsætning i Microsoft 365 – trin for trin

Trin 1: Verificér din SPF-post

Trin 2: Aktivér DKIM i Microsoft 365 Defender

Trin 3: Tilføj DMARC-post

Trin 4: Verificér alt med MXToolbox

Trin 5: Skru DMARC op over tid

Tjekliste: er du klar til reject?

Hvad det ikke løser

Kilder

DMARC, DKIM og SPF– stop forfalskning af din e-mail

Problemet: dit domæne kan misbruges uden din viden

De tre mekanismer

SPF – hvem må sende på vegne af dit domæne

DKIM – kryptografisk signatur på dine e-mails

DMARC – politikken der binder det hele sammen

Opsætning i Microsoft 365 – trin for trin

Trin 1: Verificér din SPF-post

Trin 2: Aktivér DKIM i Microsoft 365 Defender

Trin 3: Tilføj DMARC-post

Trin 4: Verificér alt med MXToolbox

Trin 5: Skru DMARC op over tid

Tjekliste: er du klar til reject?

Hvad det ikke løser

Kilder

DMARC, DKIM og SPF
– stop forfalskning af din e-mail